Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 2013-05-02 dnr V2013/414 031-789 58 98 Regler för IT-säkerhet vid Göteborgs universitet Publiceringsdatum Juni 2007 (rev. juni 2012) Publicerad Beslutsfattare www.gu.se Rektor Beslutsdatum 2007-06-11 (rev. 2012-06-08, kap 2 2013-05-02) Dokumentsansvarig Giltighetstid Sammanfattning Leif Bouvin Tillsvidare Regler för IT-säkerhet vid Göteborgs universitet anger regler för användning av universitetets IT-resurser, informationsklassning, systemanskaffning och systemutveckling, drift och underhåll samt skydd av ITutrustning och system. Fastighetsavdelningen Haraldsgatan 5, Box 100, SE 405 30 Göteborg 031 786 0000, 031 786 1142 (fax) www.gu.se
Innehållsförteckning Regler för IT-säkerhet vid Göteborgs universitet... 1 Innehållsförteckning... 2 Regler för IT-säkerhet vid Göteborgs universitet... 4 1 Regler för användning av Göteborgs universitets IT- resurser... 4 1.1 Allmänt... 4 1.2 Regler för användning... 4 1.2.1 Begränsningar i nyttjandet av universitetets IT-resurser... 4 1.2.2 Ansvar och befogenheter... 5 1.3 Regler för användning av Internet och e-post... 5 1.3.1 Allmänt... 5 1.3.2 Användning av Internet... 5 1.3.3 E-post... 6 1.3.4 E-post som hanteras av GU:s medarbetare... 6 1.4 Regler för medarbetares distansåtkomst mot GU:s IT-resurser... 6 1.4.1 Allmänt... 6 1.4.2 Distansarbete från privat dator... 6 1.5 Regler för lösenord och inloggning... 7 1.6 Påföljder och åtgärder vid regelbrott... 7 2 Informationsklassning... 8 2.1 Allmänt... 8 2.2 Informationsklassning... 8 2.2.1 Konfidentialitet... 9 2.2.2 Riktighet... 11 2.2.3 Tillgänglighet... 12 2.3 Sammanfattning... 12 3 Systemanskaffning och systemutveckling... 13 3.1 Allmänt... 13 3.2 Organisation och ansvar... 13 3.2.1 Organisation... 13 3.2.2 Systemägare... 13 3.2.3 Tekniskt ansvarig... 13 3.2.4 Projektledare... 14 3.3 Säkerhetsstyrning i de olika anskaffnings- och utvecklingsfaserna... 14 3.3.1 Förstudiefasen... 14 3.3.2 Analysfasen... 14 3.3.3 Upphandlings- och/eller konstruktionsfasen... 14 3.3.4 Dokumentation... 14 3.3.5 Test och överlämnade... 14 3.4 Utbildning... 15 3.5 Grundläggande säkerhetskrav på GU:s IT-system... 15 3.5.1 Autenticering... 15 3.5.2 Behörighetskontrollsystem... 15 3.5.3 Kommunikation... 15 3.5.4 Loggning... 16 3.5.5 Särskilda IT-säkerhetskrav... 16 3.5.6 Leverantörsbedömning... 16 3.5.7 Källkodsdeponering... 16 3.5.8 Driftsäkerhet... 17 3.6 Avveckling av IT-system... 17 3.7 Grundläggande av säkerhetskrav vid IT-drift genom extern leverantör... 17 3.7.1 Säkerhetsorganisation... 17 3.7.2 IT-säkerhetspolicy och riktlinjer... 17 Sidan 2 av 28
3.7.3 Sekretess och personalkontroll... 17 3.7.4 Hantering av sekretessbelagd information... 18 3.7.5 Hantering av utrangerade minnesmedia... 18 3.8 Grundläggande säkerhetskrav vid nyttjande av extern IT-konsult... 18 3.8.1 Säkerhetsorganisation... 19 3.8.2 Fysisk säkerhet... 19 3.8.3 IT-säkerhet... 19 3.8.4 Sekretess och personalkontroll... 19 4 Drift och underhåll... 20 4.1 Systemadministration... 20 4.1.1 Systemförteckning... 20 4.1.2 Roller... 20 4.1.3 Ansvarförbindelser för IT-personal... 20 4.1.4 Beslut om och dokumentation av systemförändringar... 20 4.1.5 Test före driftsättning... 21 4.2 Behörighetsadministration... 21 4.2.1 Grunder... 21 4.2.2 Roller... 21 4.2.3 Dokumentation och arkivering av behörighetsbeslut... 22 4.2.4 Borttagning av behörighet... 22 4.3 Säkerhetsåtgärder för att minska konsekvenserna vid avbrott (kontinuitetsplanering)... 22 4.3.1 Säkerhetskopiering... 22 4.3.2 Brand- och stöldskydd för säkerhetskopior.... 22 4.3.3 Hantering av driftsincidenter... 23 4.3.4 Hantering av säkerhetsincidenter... 23 4.4 Loggning och logganalyser... 23 4.4.1 Typer av loggar... 23 4.4.2 Trafiklogg över e-postkommunikation... 24 4.4.3 Kontroll och övervakning av logginformation... 24 4.5 Övriga specifika säkerhetsrutiner... 24 4.5.1 Brandväggar... 24 4.5.2 Virusskydd... 24 4.5.3 Skräppost (spam)... 25 4.5.4 Kryptering... 25 4.5.5 Certifikat... 25 4.5.6 Trådlösa nätverk (radio-lan)... 25 5 Skydd för IT-utrustning och system... 26 5.1 Generella regler avseende säkerhetstekniska krav på utformning av utrymmen för korskoppling och kommunikationsutrustning, serverrum och datahallar... 26 5.2 Förvaring av säkerhetskopior... 26 5.3 Arkivering av information på IT-media... 26 5.4 Skydd av stationära och bärbara arbetsstationer samt videoprojektorer. 26 5.4.1 Stationära arbetsstationer... 26 5.4.2 Bärbara datorer... 26 5.4.3 Videoprojektorer och större platta skärmar... 27 5.4.4 Stöldskyddsmärkning... 27 5.5 Omhändertagande av IT-media och utrustning som ska lämna universitetet... 27 5.5.1 Allmänt... 27 5.5.2 Datorer och lösa minnesmedier som skall säljas eller lämnas över i extern ägo... 27 5.5.3 Datorer och lösa minnesmedier som kasseras... 27 Sidan 3 av 28
Juni 2012 Regler för IT-säkerhet vid Göteborgs universitet 1 Regler för användning av Göteborgs universitets ITresurser 1.1 Allmänt Göteborgs universitets (GU:s) IT-resurser ägs av universitetet och är avsedda att användas i och för universitetets verksamhet att tillhandahålla utbildning, forskning och därtill knuten administration samt för samverkan med det omgivande samhället. Resurserna får inte tas i anspråk för ändamål genom vilka universitetets namn, anseende och goda rykte kan skadas. Med IT-resurser avses datorer, mobiltelefoner, surfplattor, programvaror, programvarulicenser, kommunikationsnät och all annan kringutrustning som nyttjas i samband med kommunikation och hantering av information i digital form. 1.2 Regler för användning 1.2.1 Begränsningar i nyttjandet av universitetets IT-resurser Universitetets IT-resurser får inte nyttjas för att på otillbörligt eller oetiskt sätt sprida, förvara eller förmedla information i strid mot gällande lagstiftning, t ex hets mot folkgrupp, barnpornografibrott, olaga våldsskildring, förtal, ofredande, dataintrång eller upphovsrättsbrott som, utan koppling till användares roll vid GU, är att betrakta som politisk, ideologisk eller religiös propaganda i strid mot personuppgiftslagens stadganden om den personliga integriteten som är personligt kränkande eller stötande som syftar till att marknadsföra produkter eller tjänster som saknar anknytning till universitetet i strid mot av GU ingångna avtal avseende IT-resurser eller på annat sätt störa GU:s IT-verksamhet Sidan 4 av 28
Universitetets IT-resurser får endast i begränsad omfattning användas för privat bruk. 1.2.2 Ansvar och befogenheter Innan användare ges behörighet att nyttja GU:s IT-resurser skall han/hon informeras om gällande regler för användning och underteckna Ansvarsförbindelse för användning av GU:s IT-resurser eller på annat sätt bekräfta att han/hon tagit del av reglerna. Användaridentiteten skall alltid kunna spåras därför är det inte tillåtet att använda någon annans behörighet eller utnyttja felaktiga konfigurationer, programfel eller på annat sätt manipulera IT-resurserna. Den tilldelade behörigheten är tidsbegränsad och är kopplad till studier, anställning, projektdeltagande eller uppdrag. Användaren skall själva meddela omständigheter som medför att behörigheten skall upphöra. 1.3 Regler för användning av Internet och e-post 1.3.1 Allmänt GUNET/SUNET är snabba nät och en dator ansluten till dessa är därför ständigt utsatt för intrångsförsök. Information som sänds eller görs åtkomlig via Internet kan även bli åtkomlig för obehöriga. Varje användare har ett ansvar att skydda GU:s IT-resurser mot intrång och information mot åtkomst för obehöriga. Därför skall datorer och datorsystem alltid vara skyddande med säkert konstruerat lösenord, se punkt 1.5, eller annan teknisk behörighets- och användaridentifikation datorer som ägs/hyrs av GU ha av GU licensierade antivirusprogram och andra av GU rekommenderade skyddssystem. Definitionerna skall vara uppdaterade. övriga datorer som ansluts till GU:s IT-resurser ha likvärdigt skyddssystem installerat för att uppnå ett tillräckligt skydd. Definitionerna skall vara uppdaterade. alla bifogade dokument/filer virustestas innan de öppnas eller laddas ner på användarens dator användaren aldrig ladda ner program och filer till en dator som är ansluten till GU:s IT-resurser utan att analysera säkerhetsrisken alla intrångsförsök anmälas till universitetets IT-support eller studentsupport skyddsvärd information som skickas med e-post eller görs åtkomlig via Internet skyddas utifrån resultatet av genomförd informationsklassning Vid osäkerhet om ovanstående reglers tillämpning skall IT-support eller studentsupport kontaktas. 1.3.2 Användning av Internet Det är förbjudet att nyttja GU:s IT-resurser för att ladda ner upphovsrättsskyddat material utan rättighetsinnehavarens tillstånd. Sidan 5 av 28
När man publicerar sig på webb skall GU:s webbpolicy följas. Vid tveksamhet om publicering av personuppgifter skall kontakt tas med GU:s personuppgiftsombud före publicering. Den medarbetare som inom ramen för sin anställning använder sig utav socialt media eller molntjänst skall, innan användningen, ta ställning till de risker i förhållande informationen/materialet, som kan kopplas till användning av mediet och tjänsten. Det avser t.ex. upphovsrätt, personlig integritet och innehållet i användarförbindelsen eller annat avtal. Riskbedömningen görs utifrån GU:s regler för informationsklassning. 1.3.3 E-post All e-post skickas från en adress inom GU representerar universitetet. I e-post skall det finnas korrekta uppgifter om avsändarens namn och adress. Innan man skickar ett e-post skall adressen kontrolleras noga, så att brevet når rätt adressat. 1.3.4 E-post som hanteras av GU:s medarbetare E-post omfattas av reglerna för allmänna handlingar. Registrering (diarieföring) av allmänna handlingar, i form av e-post, skall därför ske enligt samma regler som vanliga pappersdokument. Varje medarbetare har ansvar för att hantera inkommande e-post samt att vid frånvaro se till att den tas emot och vid behov handläggs. All mottagning och sändning av e-post till/från GU skall ske med hjälp av GU:s e- postservrar. Om man behöver hantera e-post för universitetet när man inte är direkt kopplad till GU:s IT-resurser, skall man skaffa sig tillgång till en av GU:s egna webbtjänster eller annan, av tekniskt ansvarig godkänd, anslutning för detta. Det är inte tillåtet att vidaresända e-post riktad till en GU-adress till en extern adress. E- post ställd till GU skall också besvaras av en GU-adress. 1.4 Regler för medarbetares distansåtkomst mot GU:s IT-resurser 1.4.1 Allmänt För att upprätthålla god säkerhet vid distansåtkomst ställs det krav på hög säkerhet i hela kommunikationskedjan från användare, utrustning och program fram till nyttjad IT-tjänst. För åtkomst av viss IT-tjänst skall användaren själv ta reda på vilka regler och anvisningar som systemägare och tekniskt ansvarig satt upp för den aktuella ITtjänsten och ingående IT-system. 1.4.2 Distansarbete från privat dator I syfte att upprätthålla god säkerhet även vid arbete från privat datorutrustning mot någon av GU:s IT-resurser skall denna ha minst motsvarande skydd som av GU ägda/ -hyrda datorer. Den privata datorutrustningen skall ha individuella lösenord, se pkt 1.5 nedan uppdaterat antivirusprogram säkerhetsmässigt uppdaterade programvaror av GU godkänd anslutning Sidan 6 av 28
Vid bredbandsuppkoppling skall ett extra intrångsskydd genom en så kallad brandvägg vara installerat. 1.5 Regler för lösenord och inloggning Universitetets IT-system respektive varje användare, skall skyddas med lösenord och/eller annan teknisk behörighets- och användaridentifikation. För att skyddet genom lösenord skall fungera effektivt skall följande kriterier vara uppfyllda. Användaridentitet, lösenord och tilldelad behörighet skall vara personlig. Lösenorden skall hållas hemliga och får inte lånas ut. Ett lösenord skall vara konstruerat med minst 8 tecken som är blandade med versaler, gemener, siffror och något specialtecken. Det får inte anknyta till den egna personen såsom namn, födelsedatum, utgöra enkla ord eller dylikt och inte heller bestå av tangenter som sitter i grupp. Lösenordet skall bytas var 6:e månad eller så fort det blir känt för någon utomstående. Funktionen för automatisk skärmlåsning (energisparläge) efter max 10 min inaktivitet skall alltid vara inkopplad. För fortsatt arbete på datorn måste den alltså låsas upp med ett lösenord. Användaren skall alltid logga ut från datorn när den lämnas utan egen uppsikt. 1.6 Påföljder och åtgärder vid regelbrott Överträdelse av dessa regler kan medföra att användare helt eller delvis stängs av från nyttjande av universitetets IT-resurser. Beslut tas av verksamhetsansvarig för det aktuella ansvarsområdet. Tekniskt ansvarig kan, i den akuta situationen, med omedelbar verkan stänga av misskött eller missbrukad IT-resurs. Överträdelse av dessa regler anmäls av prefekt/motsvarande till rektor beträffande studenter. Rektor har att ta ställning till om ärendet skall hänskjutas till disciplinnämnd. De disciplinära påföljderna är varning eller avstängning under viss tid från undervisningen och annan verksamhet vid universitetet personalansvarsnämnd beträffade anställd. Påföljden kan bli disciplinansvar eller avstängning. Misstanke om brott kan medföra polisanmälan. Sidan 7 av 28
2 Informationsklassning 2.1 Allmänt Information i alla dess former är en viktig tillgång för Göteborgs universitet (GU). Att klassa informationen är grundläggande för att informationen ska kunna ges nödvändigt och tillräckligt skydd. Utvecklingen inom IT gör det möjligt att hantera (skapa, lagra, utbyta och förmedla) information elektroniskt i allt större utsträckning. Att klassa den information som hanteras underlättar bedömningen av vilka elektroniska hjälpmedel eller tjänster som kan nyttjas. Information vid GU skall klassificeras utifrån krav på konfidentialitet (insynsskydd/sekretess), riktighet och tillgänglighet. Behandling av information som innehåller personuppgifter skall anmälas till universitetets personuppgiftsombud som ger anvisningar om hur informationen får hanteras. Vid bedömning av om handling utgör allmän handling eller ej se vidare Göteborgs universitets arkivhandbok. Informationsägare är ansvarig för informationsklassning av enskilda dokument och att klassificeringen genomförs främst utifrån kriterierna konfidentialitet och riktighet. Systemägare är ansvarig för informationsklassning av hela IT-system och klassificeringen skall genomföras utifrån alla tre kriterier. 2.2 Informationsklassning Informationsklassning ska säkerställa att informationen erhåller en lämplig skyddsnivå. Som hjälp används kriterierna konfidentialitet, riktighet och tillgänglighet. Med konfidentialitet avses att informationen inte får göras tillgänglig eller avslöjas för obehöriga. Med riktighet avses att informationen inte ska kunna förändras och förvanskas av misstag eller av någon obehörig. Med tillgänglighet avses att informationen ska finnas till hands för behöriga användare då den behövs. Resultatet från de tre olika klassificeringar skall utgöra det samlade kravet på nivån för skyddet av den aktuella informationen eller IT-systemet. Sidan 8 av 28
2.2.1 Konfidentialitet Informationen skall vid informationsklassning bedömas utifrån kravet på konfidentialitet det vill säga skydd mot att informationen görs tillgänglig eller avslöjas för obehöriga. Kravet på konfidentialitet klassificeras mot nedanstående fyra informationsklasser där informationsklass 1 har lägst krav och klass 4 högst krav på konfidentialitet. Är informationen att betrakta som konfidentiell för universitetet, medarbetare eller tredjepart? Ja Kan informationen beläggas med sekretess? Ja Är informationen knuten till forskning med särskilda sekretesskrav? Nej Nej Nej Ja Klass 1 Klass 2 Klass 3 Klass 4 Klass 1 konfidentialitet Informationen får lagras på arbetsstationens 1 lokala hårddisk. Informationen får även lagras på flyttbart medium 2 utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får sändas via fax och med post, såväl internt som externt. Klass 2 konfidentialitet Informationen skall i första hand lagras på en fristående server och ej på arbetsstationens lokala hårddisk. Servern skall vara placerad i ett godkänt serverrum. Informationen får även lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får faxas under förutsättning att mottagarkontroll genomförs. Vid försändning med internpost skall förslutet kuvert användas. Extern posthantering får användas. Klass 3 konfidentialitet Informationen skall lagras på en fristående server i ett skyddat nät. Servern skall vara placerad i ett godkänt serverrum. 1 Med arbetsstation avses både stationära och bärbara persondatorer. 2 Exempelvis CD/DVD/USB-minne/mobiltelefon/surfplatta/löstagbar hårddisk/band. Sidan 9 av 28
Informationen får i undantagsfall lagras på en arbetsstation under förutsättning att hela lagringsmediet är krypterat och att IT-systemet inte delar ut resurser. Informationen får lagras på flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det hålls inlåst när det inte används. 3 Dessa medium får ej lämnas utan uppsikt och ej förflyttas utanför universitetets lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får ej faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Vid försändning med internpost skall dubbla förslutna kuvert användas. Informationen får inte lagras i eller synkroniseras med en molntjänst. 4 Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt alternativt skrivas över enligt standard DoD 5520-22.M, med ett av GU tillhandahållet överskrivningsprogram så att lagrad information inte kan återskapas. Destruktionsintyg respektive signerad anteckning om överskrivning skall arkiveras. Klass 4 konfidentialitet Informationen skall lagras på fristående server i isolerat nät och ej på arbetsstationens lokala hårddisk. Servern skall vara placerad, separat inlåst, i ett godkänt serverrum. I de fall då server ej finns att tillgå skall informationen lagras på en krypterad separat hårddisk som när den inte nyttjas skall förvaras i säkerhetsskåp av klass SS 3492. Bärbar dator låses in, på motsvarande sätt, då den inte används. Informationen får lagras på annat flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det förvaras inlåst i säkerhetsskåp av klass SS3492 när det inte används. Det flyttbara mediet får ej lämnas utan uppsikt och ej förflyttas utanför GU:s lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får inte faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Informationen får inte sändas med internpost. Informationen får inte lagras i eller synkroniseras med en molntjänst. Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt så att lagrad information inte kan återskapas. Destruktionsintyget skall arkiveras. 3 För säkerhetskopior/backup gäller särskilda rutiner. 4 Med molntjänst avses här en tjänst som dels bygger på att resurser delas av flera användare eller organisationer och dels att program och data lagras decentraliserat i ett nätverk av servrar. Sidan 10 av 28
2.2.2 Riktighet Informationen skall vid informationsklassning bedömas utifrån kravet på riktighet det vill säga skydd mot oavsiktlig eller avsiktlig förvanskning. Kravet på riktighet klassificeras mot nedanstående tre informationsklasser. Där informationsklass ett har lägst krav på riktighet och klass tre högst krav på riktighet. Kan oriktig information medföra skada? Ja Kan oriktig information medföra allvarlig skada? Ja Oriktig information kan medföra allvarlig skada. Nej Nej Klass 1 Klass 2 Klass 3 Klass 1 riktighet Inga krav ställs på verifiering av riktigheten i informationen eller skydd mot förvanskning av informationen. Klass 2 riktighet Informationen skall vara spårbar och riktigheten skall kunna verifieras t.ex. genom signering. Klass 3 riktighet Varje inmatning (transaktion) eller förändring av information skall vara spårbar och riktigheten skall kunna verifieras för varje inmatning eller förändring av information. Informationen skall förses med ett högt skydd mot oavsiktlig eller avsiktlig förändring och får endast hanteras i ett skyddat nät med ett anpassat behörighetskontrollsystem. Informationen får inte lagras i eller synkroniseras med en molntjänst. Undantag upphandlade tjänster som uppfyller kraven på verifiering av transaktioner. Sidan 11 av 28
2.2.3 Tillgänglighet Informationen skall vid informationsklassning bedömas utifrån kravet på tillgänglighet det vill säga att informationen skall finnas till hands för behöriga användare då den behövs. Kravet på tillgänglighet klassificeras mot nedanstående tre informationsklasser där informationsklass 1 har lägst krav och klass 3 högst krav på tillgänglighet. Medför förlust av tillgänglighet måttlig negativ påverkan på verksamheten? Ja Medför förlust av tillgänglighet stor negativ påverkan på verksamheten? Ja Medför förlust av tillgänglighet betydande/allvarlig negativ påverkan på verksamheten? Nej Nej Klass 1 Klass 2 Klass 3 Klass 1 tillgänglighet Måttliga krav ställs på tillgänglighet till informationen eller systemet. Klass 2 tillgänglighet Stora krav ställs på tillgänglighet till informationen eller systemet. Klass 3 tillgänglighet Betydande krav ställs på tillgänglighet till informationen eller systemet. Längre avbrott i tillgängligheten är inte acceptabla. Tillgängligheten enligt ovanstående gäller i första hand tillgänglighet ur en tidsaspekt. Tillgänglighet kan uttryckas i både tid och rum. Vad som måste beaktas avseende rumsaspekten dvs att informationen ska vara tillgänglig oavsett var användaren befinner sig är att den avsevärt ökar risken för att kraven på konfidentialitet och riktighet inte kan uppfyllas. 2.3 Sammanfattning Resultatet från de tre olika klassificeringar skall utgöra det samlade kravet på nivån för skyddet av den aktuella informationen eller IT-systemet. Resultatet utgör grunden för hur informationsägaren skall hantera informationen och underlag för systemägarens kravställning på ett IT-system. Sidan 12 av 28
3 Systemanskaffning och systemutveckling 3.1 Allmänt Dessa regler är i första hand avsedda att styra anskaffnings- respektive utvecklingsprocessen för IT-system med flera användare, men skall även i tillämpliga delar beaktas vid anskaffning och utveckling av mindre en- och fåanvändarsystem. 3.2 Organisation och ansvar 3.2.1 Organisation Vid anskaffning och utveckling av mindre system leder systemägare och tekniskt ansvarig i samråd anskaffnings- och utvecklingsfaserna direkt via projektledaren. Vid anskaffning respektive utveckling av större IT-system med många användare och/eller komplexa IT-system skall en särskild projektorganisation skapas. Projektorganisationens styrgrupp leder anskaffnings- och utvecklingsarbetet fram till överlämnandet av det färdiga och dokumenterade IT-systemet till förvaltningsorganisationen, som skall ansvara för den framtida driften. 3.2.2 Systemägare Systemägare skall utses tidigt i anskaffnings- respektive utvecklingsprocessen. Det bör ske redan under förstudiefasen. Systemägaren ansvarar för att det planerade systemet utformas och förvaltas så att det uppfyller kraven på god IT-säkerhet att projektorganisationen har tillgång till erforderlig IT-säkerhetskompetens att i de fall personuppgifter kommer att ingå i det planerade IT-systemet skall detta dokumenteras och anmälas till universitetets personuppgiftsombud. ITsystemet skall utformas så att det uppfyller personuppgiftslagens krav att en förvaltningsorganisation med utöver systemägare utsedd systemförvaltare, tekniskt ansvarig och teknisk förvaltare skapas för ITsystemets drift och underhåll. 3.2.3 Tekniskt ansvarig Tekniskt ansvarig ansvarar för att säkerhetstekniska lösningar följer av Göteborgs universitets (GU) uppsatta standarder att systemet i förekommande fall kan integreras med befintliga IT-system utan att IT-säkerheten försämras att teknisk förvaltare utses till av systemägare föreslagen förvaltningsorganisation att IT-systemet förs in i GU:s systemförteckning enligt regler för Drift och underhåll. Sidan 13 av 28
3.2.4 Projektledare Projektledaren ansvarar för att föreskrivna IT-säkerhetsaktiviteter genomförs och dokumenteras i projektets olika faser att incidenter och andra händelser som ur säkerhetssynpunkt påverkar projektet eller IT-systemets slutliga säkerhet rapporteras till systemägare och tekniskt ansvarig. 3.3 Säkerhetsstyrning i de olika anskaffnings- och utvecklingsfaserna I syfte att åstadkomma kostnadseffektiva och fungerande säkerhetslösningar skall säkerhetsaspekterna belysas och säkerhetskrav successivt arbetas in i de olika anskaffnings- och utvecklingsfaserna. 3.3.1 Förstudiefasen I förstudiefasen skall en övergripande informationsklassning genomföras av den information som IT-systemet skall hantera. Informationsklassningen skall ge svar på förekomst av personuppgifter förekomst av sekretessbelagd eller annan information av känslig karaktär krav på informationens riktighet krav på tillgänglighet. 3.3.2 Analysfasen Under analysfasen skall en säkerhetsanalys genomföras. I säkerhetsanalysen skall hot och risker analyseras och dokumenteras samt förslag till åtgärder utformas. 3.3.3 Upphandlings- och/eller konstruktionsfasen Beslutade systemspecifika säkerhetskrav och -åtgärder inarbetas i kravspecifikationen och förfrågningsunderlaget tillsammans med de generella ITsäkerhetskraven enligt pkt 3.5 nedan, respektive regler för Drift och underhåll. Avvikelser från beslutade säkerhetskrav skall dokumenteras och anmälas till systemägare och tekniskt ansvarig för analys och beslut. I förekommande fall skall anmälan göras till GU:s personuppgiftsombud. 3.3.4 Dokumentation Leverantör/ konstruktör skall tillhandahålla användar-, utbildnings-, drift- och systemdokumentation samt teknisk dokumentation. Dokumentation skall utformas så att justeringar eller uppdateringar kan ske i efterhand av annan än den ursprunglige konstruktören av IT-systemet. 3.3.5 Test och överlämnade Test och kontroll av verkan av säkerhetsåtgärder/-lösningar skall dokumenteras och godkännas av systemägare och tekniskt ansvarig innan IT-systemet sätts i produktion. Sidan 14 av 28
Uppgraderingar och revideringar av IT-system skall testas innan de sätts i produktion. Test skall genomföras i särskild testmiljö. Om test i särskild testmiljö inte är möjlig skall andra lämpliga kontroller göras för att undvika driftstörningar eller felaktig funktion när IT-systemet sätts i produktion. 3.4 Utbildning Systemägare ansvarar för att erforderlig utbildning av systemförvaltare och användare planeras och genomförs. Tekniskt ansvarig ansvarar för att erforderlig utbildning av teknisk förvaltare och systemadministratörer planeras och genomförs. 3.5 Grundläggande säkerhetskrav på GU:s IT-system Nedanstående grundläggande säkerhetskrav skall, både vid upphandling och vid intern utveckling av IT-system, kompletteras med de systemspecifika säkerhetskrav som framkommer vid informationsklassningen och säkerhetsanalysen under förstudie- respektive analysfasen. 3.5.1 Autenticering Varje användare skall ha ett unikt individuellt användarkonto (-identitet) för att säkerställa att endast behöriga användare har tillgång till IT-systemet. En förteckning över nyttjade användaridentiteter skall kunna skapas med koppling till användarens personuppgifter (namn och personnummer) IT-systemen skall kunna använda sig av och anslutas till en extern modul för autenticering. All autenticering skall ske i krypterad form. 3.5.2 Behörighetskontrollsystem IT-systemen skall ha rollbaserade behörighetskontrollsystem som kan anpassas till systemägarens krav på säkerhet utifrån organisation och genomförd säkerhetsanalys. Vid behov skall behörighet till olika nivåer inom organisationen vad avser tillgänglighet av information kunna skapas. Med nivåer avses t.ex. laboratorie-, institutions-, fakultets- eller övergripande universitetsnivå. IT-systemet skall kunna lista gällande behörigheter med angivande av användarens identitet gällande behörigheter kopplat till datum för tilldelning och borttagande respektive tidsbegränsning av behörighet. 3.5.3 Kommunikation Kommunikationen med IT-systemet skall skyddas utifrån resultatet från genomförd informationsklassning. Eventuell krypteringen skall följa av GU godkänd standard. Sidan 15 av 28
3.5.4 Loggning Samtliga IT-system skall ha funktioner och rutiner för loggning av säkerhetsrelaterade händelser i systemet för att säkerställa spårbarhet, underlätta framtida utredningar av driftstörningar och eventuella oegentligheter samt för uppföljning av behörighetssystemen. Händelseloggarna består av två huvudgrupper: revisionsloggar (tas främst ur applikationsloggen) operatörsloggar (tas främst ur databas- och systemloggar). Loggning skall ske automatiskt och skall inte kunna förvanskas eller förstöras. Endast i undantagsfall, när automatisk loggning inte kan lösas tekniskt, skall manuell loggning övervägas utifrån skyddsvärdet. Revisionsloggar som syftar till att registrera avvikelser och andra säkerhetsrelevanta händelser skall föras och bevaras under minst två år eller under tid som lagstiftning föreskriver. Loggar avseende ekonomiska transaktioner i t.ex. ekonomisystem och personaladministrativa system skall bevaras i 10 år. Operatörsloggarna skall sparas i minst 6 månader eller under tid som lagstiftning föreskriver. 3.5.5 Särskilda IT-säkerhetskrav Brandväggar Anskaffning och konfigurering av brandväggar skall följa av GU fastställd standard. Virusskydd Det åligger systemägare att planera och verifiera att ett relevant virusskydd finns implementerat för respektive IT-system under dennes ansvar. Certifikat I de fall där IT-system nyttjar certifikatsberoende kryptering skall ett av GU:s ITavdelning rekommenderat certifikat användas. Trådlösa nätverk (radio-lan) Vid nyetablering av trådlösa nätverk inom GU skall GUWLAN, den gemensamma lösningen som tagits fram för universitetet användas. 3.5.6 Leverantörsbedömning I syfte att säkerställa leverantörens framtida åtaganden skall en bedömning av leverantören göras i samråd med GU:s upphandlingsenhet. Med hänsyn till resultatet från genomförd informationsklassning samt risk och säkerhetsanalys skall leverantör, samverkande part eller annan levererande organisation bedömas utifrån samma krav som framgår av pkt 3.7 Grundläggande säkerhetskrav vid IT-drift genom extern leverantör. 3.5.7 Källkodsdeponering Deponering av källkod till GU:s IT-system skall vara väl dokumenterad och ske på ett sätt som säkerställer framtida drift, kompletteringar och underhåll av ITsystemen. Vidare gäller följande: Sidan 16 av 28
Vid upphandling av IT-system skall källkodsdeponering regleras i avtal. Vid egenutveckling av IT-system ansvarar tekniskt ansvarig för att källkoden deponeras/arkiveras på ett säkert sätt. Deponeringen/arkiveringen skall uppfylla Riksarkivets krav RA-FS 1997:3. 3.5.8 Driftsäkerhet För att behålla hög tillgänglighet och minska risken för informationsförluster skall GU:s IT-system ha en konstruktion som ger hög driftsäkerhet och vara utrustade med en lättarbetad administrationsmodul. Support och underhåll skall säkerställas för systemets hela livslängd. 3.6 Avveckling av IT-system En plan både för avvecklingen av IT-systemet samt principer för hur väsentliga data skall sparas skall tas fram redan på planeringsstadiet. 3.7 Grundläggande av säkerhetskrav vid IT-drift genom extern leverantör 3.7.1 Säkerhetsorganisation Hos leverantören skall det finnas en säkerhetsorganisation med en ansvarig chef och en namngiven kontaktperson för säkerhetsfrågor. Kontaktpersonen för säkerhetsfrågor bör anges i avtalet med leverantören. Leverantören skall för GU redovisa gällande säkerhetspolicy och riktlinjer avseende fysisk säkerhet IT-säkerhet sekretess Eventuella ändringar av nämnda policy och riktlinjer skall anmälas till GU. Efter bedömning kan vid behov hela eller delar av policy och riktlinjer bifogas avtalet. 3.7.2 IT-säkerhetspolicy och riktlinjer Generellt skall leverantören följa GU:s IT-säkerhetspolicy samt därtill knutna regler och riktlinjer. Efter avslutat uppdrag skall leverantören återlämna sekretessbelagt och känsligt material elektroniskt lagrade uppgifter raderas/förstöras enligt GU direktiv all systemdokumentation återlämnas till GU. 3.7.3 Sekretess och personalkontroll Sekretess I avtalet om IT-drift genom extern leverantör skall följande sekretessklausul ingå: Leverantören förbinder sig att följa gällande säkerhetsregler som Göteborgs universitet från tid till annan fastställer samt se till att berörd personal/konsult och anlitad underleverantör iakttar dessa. Sidan 17 av 28
I de fall leverantören ges tillgång till, enligt Offentlighets- och sekretesslagen (2009:400), skyddad information skall tillämpliga bestämmelser i nämnda lag beaktas. Leverantören skall informera personal/konsult och anlitad underleverantör om gällande sekretess. Sekretess gäller även om avtalet i övrigt upphört att gälla. Leverantören får inte till tredje man lämna ut handlingar eller på annat sätt återge uppgifter om Göteborgs universitets verksamhet som kan vara att betrakta som affärs- eller yrkeshemlighet eller som i övrigt rör Göteborgs universitets interna förhållanden, i annan utsträckning än som behövs för uppdragets genomförande. Personalkontroll Leverantören skall redogöra för vilken typ och omfattning av säkerhetsprövning man gör innan enskild medarbetare får arbeta med uppdraget för GU. Prövningen skall minst omfatta personlig kännedom uppgifter som framgår av betyg, intyg och referenser. En säkerhetsbedömning görs av leverantörens svar utifrån resultatet av genomförd informationsklassning och säkerhetsanalys. 3.7.4 Hantering av sekretessbelagd information Utöver vad som anges i GU:s regler och riktlinjer för 5. Skydd för IT-utrustning och system skall nedanstående regler följas. Sekretessbelagd och känslig information skall hanteras och förvaras så att obehörig inte kan ta del av den. Förvaring skall ske i datamediaskåp som utöver miljökraven uppfyller kravet för säkerhetsskåp enligt SS 3492. All elektronisk kommunikation av sekretessbelagd eller känslig information skall vara krypterad med hänsyn till resultatet från genomförd informationsklassning. Transport av handlingar och flyttbart medium skall ske i låst portfölj av leverantörens eller GU:s personal. Eventuell postbefordran skall ske med ESS-brev, REK. 3.7.5 Hantering av utrangerade minnesmedia Utrangering av minnesmedia skall ske enligt GU:s regler och riktlinjer för 5. Skydd för IT-utrustning och system. 3.8 Grundläggande säkerhetskrav vid nyttjande av extern IT-konsult Uppdraget som IT-konsult innebär att leverantören och eller dennes underleverantör arbetar i universitetets lokaler och hanterar eller kan få del av sekretessbelagd och känslig information tilldelas egen personlig behörighet till GU:s IT-resurser. Sidan 18 av 28
3.8.1 Säkerhetsorganisation Hos leverantören skall det finnas en säkerhetsorganisation med en ansvarig chef och en namngiven kontaktperson för säkerhetsfrågor. Kontaktpersonen för säkerhetsfrågor bör anges i avtalet med leverantören. Endast i avtalet namngiven personal får nyttjas för uppdraget. Förändring av namngivna personer skall skriftligt godkännas av GU. Personalen skall kunna legitimera sig med av leverantören utfärdad legitimation. 3.8.2 Fysisk säkerhet I uppdragsavtalet skall leverantören förbinda sig att följa universitetets säkerhetsriktlinjer avseende tillträde till lokalerna leverantören förbinda sig att inte föra ut några sekretessbelagda eller känsliga handlingar, filer, disketter, material eller annan information utanför universitetets lokaler samt att följa GU:s regler och riktlinjer för förvaring av denna typ av material och information. 3.8.3 IT-säkerhet Leverantören skall följa GU:s IT-säkerhetspolicy samt därtill knutna regler och riktlinjer. Någon överföring av filer eller programvara till nät utanför GU:s nät får inte ske utan särskilt tillstånd. 3.8.4 Sekretess och personalkontroll Se pkt 3.7.3 ovan. Sidan 19 av 28
4 Drift och underhåll 4.1 Systemadministration 4.1.1 Systemförteckning Göteborgs universitets (GU:s) gemensamma IT-system samt respektive fakultetsnämndsområdes IT-system, skall finnas förtecknade på respektive organisationsnivå med angivande av: systembeteckning systemägare systemförvaltare tekniskt ansvarig teknisk förvaltare om systemet innehåller personuppgifter. 4.1.2 Roller Systemägare skall i den dagliga driften och underhållet av IT-system och ITinfrastruktur stödjas av en för respektive system utsedd systemförvaltare. Tekniskt ansvarig skall i den dagliga driften och underhållet av IT-system och ITinfrastruktur stödjas av en för respektive IT-system och IT-infrastruktur utsedd teknisk förvaltare en eller flera systemadministratörer. 4.1.3 Ansvarförbindelser för IT-personal Innan medarbetare ges behörighet att arbeta med drift och underhåll av GU:s ITresurser skall han/hon informeras om gällande regelverk för IT-säkerhet vid GU och underteckna nedanstående ansvarsförbindelser eller på annat sätt bekräfta att han/hon tagit del av reglerna: Ansvarsförbindelse för användning av Göteborgs universitets IT-resurser. Ansvarsförbindelse för medarbetare med anställning inom drift och underhåll av Göteborgs universitets IT-resurser. 4.1.4 Beslut om och dokumentation av systemförändringar Beslut om systemförändringar fattas av respektive systemägare i samråd med tekniskt ansvarig. Systemförvaltare och teknisk förvaltare ansvarar för att både beslut om systemförändring och genomförd förändring dokumenteras och arkiveras på ett säkert sätt som medger uppföljning av vidtagna systemförändringar eventuell överlämning av både systemförvaltning och teknisk förvaltning. Sidan 20 av 28